Un problema de seguridad en la app de Instagram para Android podría permitirle a un atacante acceder a la cuenta de un usuario y por lo tanto a sus fotos privadas, además de borrarlas o publicar nuevas y editar comentarios.
El análisis de tráfico que realizó el investigador Mazin Ahmed en su blog reveló que cierta información viaja sin cifrado a través de HTTP en vez de HTTPS. Esta información incluye las fotos que la víctima está mirando, las cookies de sesión, su usuario y ID.
Esto significa que la app mobile de Instagram se comunica con su servidor a través de una conexión HTTP sin cifrar, susceptible a intromisiones por ataques Man In The Middle (MITM), que permiten interceptar el tráfico inalámbrico. Una vez que obtuvo las cookies de sesión, el atacante puede reutilizarlas en otro sistema o navegador para secuestrar la cuenta de Instagram de la víctima.
Luego de que Ahmed reportara el problema a Facebook, propietario de Instagram desde 2012, desde la compañía le respondieron que son concientes de los riesgos de utilizar HTTP en vez de HTTPS y están trabajando en una solución a futuro.
Por el momento, se recomienda utilizar la versión web de la plataforma para compartir fotos, por sobre la versión de Instagram para Android, ya que presenta mejores niveles de seguridad en lo que refiere a cifrado.
